HOME
Splunk認定 Core Certified Advanced Power User

「Splunk認定 Core Certified Advanced Power User」の記事一覧

ルックアップ定義で「match_type=CIDR(ip)」を設定した際、ルックアップファイル側に必要な形式はどれか。

CIDRマッチングを行う場合、テーブル側にはサブネットマスク付きのネットワーク表記が必要です。

2026年3月23日

REXコマンドで、大文字小文字を区別せずに一致させるためのフラグはどれか。

正規表現の先頭に(?i)を付けることで、以降のパターンで大文字小文字が無視されます。

2026年3月23日

2つの異なるインデックスのデータを、計算後の共通フィールドで集計する最も効率的なSPLはどれか。

可能な限り、単一の検索条件内でORを使用してデータを取得し、statsで処理するのがベストプラクティスです…

2026年3月23日

現在時刻とイベントの時刻（_time）の差を秒単位で計算する正しい式はどれか。

now()関数と_timeはいずれもエポック時間を返すため、単純な引き算が可能です。

2026年3月23日

statsコマンドで、指定したフィールドのパーセンタイル（例：95%値）を算出する関数はどれか。

perc(field)またはp(field)の形式でパーセンタイル値を指定します。

2026年3月23日

インデックス時にフィールド抽出を行うTRANSFORMSの設定で、不要なイベントを破棄するために使用される宛先キーはどれか。

DEST_KEYにnullQueueを指定することで、特定のイベントをインデックスせずに破棄できます。

2026年3月23日

データモデルアクセラレーションの「Backfill」期間が意味するものはどれか。

高速化設定を有効にした際、どの程度過去のデータまでサマリーを作成するかを指定します。

2026年3月23日

Splunkにおける「リアルタイムサーチ」がシステムリソースに与える影響として正しいものはどれか。

リアルタイムサーチは常に実行状態となるため、常時リソースを専有します。

2026年3月23日

2つのマルチバリューフィールドを、同じインデックス位置同士で結合して新しいフィールドを作る関数はどれか。

mvzip(A, B)は、Aの1番目とBの1番目を結合したペアを生成します。

2026年3月23日

KVストアの定義で「replicate=true」を設定する主な理由はどれか。

クラスタ環境において、各サーチヘッドが最新のKVストアデータを参照できるようにします。

2026年3月23日